Pode permitir que os utilizadores ou as contas de serviço realizem determinadas operações em contentores sem restrições de filtragem de IP, ao mesmo tempo que aplica restrições a outras operações. Para o fazer, ignora as regras de filtragem de IP.
É fundamental ter uma forma de recuperar o acesso ao seu contentor se bloquear inadvertidamente o seu próprio endereço IP. Isto pode acontecer devido aos seguintes motivos:
Bloqueio de contentores: quando adiciona acidentalmente uma regra que bloqueia o seu próprio endereço IP ou o intervalo de IP de toda a sua rede.
Alteração inesperada do IP: em alguns casos, o seu endereço IP pode mudar inesperadamente devido a alterações na rede, e pode ficar sem acesso.
Para informações gerais sobre a filtragem de IP ao nível do contentor, consulte o artigo Filtragem de IP ao nível do contentor.
Operações compatíveis
Quando contorna a filtragem de IP, as seguintes operações ficam isentas das restrições de filtragem de IP:
- Obter os metadados de um contentor (
GETBucket) - Atualizar um contentor (
PATCHBucket) - Eliminar um contentor (
DELETEBucket)
Ignorar regras de filtragem de IP de contentores
Para permitir que utilizadores ou contas de serviço específicos ignorem as restrições de filtragem de IP num contentor, conceda-lhes a autorização storage.buckets.exemptFromIpFilter através de uma função personalizada. Esta autorização isenta o utilizador ou a conta de serviço das regras de filtragem de IP para operações ao nível do contentor suportadas. Para o fazer, conclua os seguintes passos:
Identifique o utilizador ou a conta de serviço que tem de ignorar as restrições de filtragem de IP em contentores específicos.
Crie uma função personalizada.
Adicione a autorização
storage.buckets.exemptFromIpFilterà função.Conceda a função personalizada ao utilizador ou à conta de serviço identificados ao nível do projeto. Para obter informações sobre a concessão de funções, consulte o artigo Conceda uma única função.
Depois de conceder estas autorizações aos utilizadores ou às contas de serviço, estes podem realizar operações suportadas sem restrições de filtragem de IP. A exigência de autorizações explícitas garante que a ignorância das regras de filtragem de IP é uma ação deliberada e autorizada, uma vez que oferece um controlo detalhado sobre as exceções às regras.
Ignore as regras de filtragem de IP para Google Cloud agentes de serviço
Além da opção de ignorar baseada na IAM, também pode permitir que todos os agentes de serviço Google Cloud ignorem as regras de filtragem de IP para o seu contentor.
Quando ativados, os serviços como o Compute Engine, as funções do Cloud Run ou o Cloud Composer podem aceder ao contentor através dos respetivos agentes de serviço, mesmo que os respetivos endereços IP de origem não estejam explicitamente listados nos seus intervalos de IP permitidos. A ignorância das regras de filtragem de IP é frequentemente necessária para que os serviços funcionem corretamente e interajam com o seu contentor. Para obter informações sobre como permitir Google Cloud que os agentes de serviço acedam ao seu contentor, consulte o artigo Faça a gestão do acesso dos agentes de serviço.
Ignore as regras de filtragem de IP para redes de VPC entre organizações
Pode permitir que os recursos da rede VPC de uma organização diferente acedam ao contentor sem restrições da sua configuração de filtragem de IP existente. Para obter informações sobre como permitir que as redes VPC de várias organizações acedam ao seu contentor, consulte o artigo Faça a gestão do acesso VPC de várias organizações.
O que se segue?
- Desative as regras de filtragem de IP num contentor.
- Obtenha regras de filtragem de IP num contentor.
- Liste as regras de filtragem de IP do contentor.